Die Einführung der Datenschutzgrundverordnung (DSGVO) hat Maklern das Leben etwas schwerer gemacht. Personenbezogene Daten mussten schon immer sorgsam behandelt werden, die seit Mai 2018 geltenden europäischen Regeln verlangen jedoch zusätzlichen Schutz. Dies bedeutet für Sie als Makler vor allem einen größeren bürokratischen Aufwand. Trotz hoher Bußgelder wird die DSGVO aber nicht immer ernst genommen. Dabei haben die Gerichtsurteile in der Vergangenheit belegt, wie wichtig es ist, die Verordnung zu berücksichtigen. Damit Ihnen in Zukunft keine Datenschutzfehler unterlaufen, zeigen wir Ihnen, welche Fallstricke bei Ihrer täglichen Arbeit lauern und welche Aspekte der DSGVO häufig unbeachtet bleiben.
Wann Sie sich an die DSGVO halten müssen
Die Datenschutzgrundverordnung ist überall dort zu berücksichtigen, wo personenbezogene Daten verarbeitet werden. Verarbeitung bedeutet in diesem Fall bereits die reine Erhebung von Informationen über natürliche Personen. Laut Erwägungsgrund 14 der Datenschutzgrundverordnung gilt die Verordnung ausdrücklich nicht für die Aufnahme von Daten juristischer Personen.
Als Makler sind Sie in besonderem Maße von der DSGVO betroffen, da Sie permanent mit personenbezogenen Daten von Miet- und Kaufinteressenten oder Immobilienbesitzern in Kontakt kommen. Zu den personenbezogenen Daten zählen etwa Name, Kontaktdaten und Geburtsdatum, welche Ihnen durch Kunden zur Verfügung gestellt wurden. Aber auch Informationen, die Sie selbst eingeholt haben, wie zum Beispiel eine Bonitätsauskunft über Mietinteressenten, fallen in diese Kategorie. Informationen mit Personenbezug sind laut Auffassung der Gesetzgebung besonders schützenswert. Sie müssen diese jedoch nicht nur sorgsam behandeln und für Dritte unzugänglich aufbewahren, sondern auch im Rahmen bestimmter Löschfristen vernichten.
Informationspflichten und Widerspruchsrecht
Erheben Sie personenbezogene Daten einer natürlichen Person, müssen Sie dieser Informationen über die Datenverarbeitung aushändigen und sie über ihre Rechte aufklären. Dies geschieht mithilfe eines Informationsblattes. Es bedarf hier keiner Unterschrift des Kunden, die Aushändigung ist ausreichend. Das Informationsblatt muss folgende Aspekte beinhalten:
-
Speicherdauer der personenbezogenen Daten
-
Falls zutreffend: Weiterleitung der Daten an Dritte
-
Zweck der Datenverarbeitung
-
Die Rechtsgrundlage, nach der die Daten erhoben wurden
-
Hinweis auf zuständige Behörden im Falle einer Beschwerde
-
Hinweis auf das Widerspruchsrecht
-
Hinweis auf das Auskunftsrecht
Ihre Informationspflichten gelten sowohl gegenüber Ihren eigentlichen Kunden als auch gegenüber Kauf- oder Mietinteressenten. Der Hinweis auf das Widerspruchsrecht im Informationsblatt ist an dieser Stelle besonders erwähnenswert, denn Personen, deren Daten verarbeitet werden, können dem jederzeit widersprechen. Als Makler sind Sie dann zur sofortigen Löschung verpflichtet, es sei denn, die personenbezogenen Daten sind für den geplanten Geschäftsabschluss zwingend erforderlich. Häufig wird die Pflicht zur Information nur unzulänglich erfüllt, dabei ist sie grundlegender Bestandteil der DSGVO. Daher sollten Sie gründlich prüfen, ob Ihr Informationsblatt ausreichend ist und alle wesentlichen Aspekte umfasst. Dies ist besonders wichtig, falls Sie Daten zur Weiterverarbeitung an Dritte weitergeben.
Datenübermittlung von Kauf- oder Mietinteressenten an Dritte
Als Makler nehmen Sie eine vermittelnde Rolle zwischen zwei Parteien ein. Die Aufnahme personenbezogener Daten von Kauf- oder Mietinteressenten ist unabdingbar, aber auch deren Weitergabe an den Eigentümer der Immobilie ist die Regel. Ebenso verhält es sich mit der Übermittlung von Daten an eine Auskunftei. Die Überprüfung der Zahlungsfähigkeit von Mietinteressenten ist heutzutage obligatorisch. Die Weitergabe der personenbezogenen Informationen ist rechtlich zwar unbedenklich, allerdings müssen Sie Interessenten im Informationsschreiben zwingend darauf hinweisen. Ein einfacher Passus über den Empfängerkreis sowie den Zweck der Weitergabe ist jedoch unzulänglich. Es muss zusätzlich eine schriftliche Einwilligungserklärung zur Verarbeitung durch Dritte eingeholt werden. Der Betroffene kann seine Unterschrift zwar verweigern, allerdings schließt ihn das in der Regel vom Vertragsabschluss aus. Geben Sie Daten ohne Wissen eines Kunden an Dritte weiter, handelt es sich um einen schweren Verstoß gegen die DSGVO.
Mieterselbstauskunft darf nicht im Vorfeld verlangt werden
Die Mieterselbstauskunft ist heutzutage standardmäßig von Mietinteressenten auszufüllen und aus dem Immobiliengeschäft kaum mehr wegzudenken. Allerdings darf eine Selbstauskunft nicht zu jedem Zeitpunkt verlangt werden. Da Sie laut DSGVO dem Prinzip der Datensparsamkeit verpflichtet sind, dürfen Sie die Mieterselbstauskunft nur einfordern, wenn die Absicht besteht, dem Mietinteressenten die Mietsache zu überlassen und dieser ein wirkliches Interesse an der Wohnung hat. Die Selbstauskunft kann daher nach einer Wohnungsbesichtigung verlangt werden, im Vorfeld ist dies ausgeschlossen. Vor dem eigentlichen Besichtigungstermin dürfen Sie lediglich Kontaktdaten und Namen des Interessenten erfassen. Des Weiteren können Sie in einer Mieterselbstauskunft nur Daten abfragen, die für das Mietverhältnis von Belang sind.
Schulung Ihrer Mitarbeiter
Als Makler sind Sie verpflichtet, das Risiko einer Datenpanne möglichst gering zu halten. Sollten Sie Angestellte haben, müssen Sie diese daher für den Datenschutz sensibilisieren. Dies erfolgt etwa im Rahmen von jährlich stattfindenden Datenschutzschulungen. Zugriff auf sensible Mieterdaten dürfen nur Mitarbeiter besitzen, welche diese zwingend für ihre Arbeit benötigen. Einen Datenschutzbeauftragten brauchen Sie formal erst ab 20 Angestellten. Beachten Sie aber, dass die DSGVO auch für kleinere Unternehmen gilt. Daher kann es ratsam sein, einen Mitarbeiter zu beschäftigen, der sich in diesem Bereich auskennt.
Löschfristen und Auskunftsrecht
Sie dürfen personenbezogene Daten nicht unbegrenzt speichern. Sobald die Daten ihren Zweck erfüllt haben, sind diese zu vernichten. Hier passieren jedoch häufig Fehler. Besonders eine Mieterselbstauskunft oder die Ergebnisse einer Bonitätsprüfung werden manchmal deutlich länger gespeichert als dies rechtlich zulässig ist. Alle Daten, die Sie aus steuerrechtlichen Gründen aufbewahren müssen, dürfen Sie natürlich erst nach Ablauf der entsprechenden Frist löschen. Daten, die ihren Zweck jedoch erfüllt haben, sind unverzüglich zu löschen. Hierfür bedarf es auch keiner Aufforderung durch den Kunden.
Aufgrund des Auskunftsrechts sind Sie auf Anfrage verpflichtet, den Betroffenen mitzuteilen, welche Informationen Sie über diese gespeichert haben. Beantworten Sie das Ersuchen zu spät oder nur unzulänglich, können hohe Strafen die Folge sein. Hier gibt es bereits entsprechende Gerichtsurteile, die zu Bußgeldern in vierstelliger Höhe führten. (Vgl. etwa: Arbeitsgericht Düsseldorf vom 5. März 2020 - 9 Ca 6557/18) Wird ein Betroffener durch solch ein Auskunftsersuchen gewahr, dass Sie die Löschfristen nicht eingehalten haben, hat dies entsprechende Konsequenzen.
Problemfall Wartelisten
Falls Mietinteressenten bei einer begehrten Wohnung das Nachsehen haben, lassen sie sich häufig auf eine Warteliste setzen. Dies ist grundsätzlich kein Problem, allerdings dürfen Sie laut DSGVO nur die notwendigen Daten der Wohnungssuchenden aufbewahren. Dies sind Name und Kontaktmöglichkeit. Eingereichte Gehaltsnachweise, Bonitäts- oder Selbstauskünfte sind zu vernichten. Der Zweck dieser Daten – nämlich die Bewerbung für eine bestimmte Wohnung – wurde bereits erfüllt. Bei Bedarf müssen Sie neue Unterlagen anfordern. Der gesteigerte bürokratische Aufwand muss leider von beiden Seiten in Kauf genommen werden.
Welche Informationen Sie nicht erheben dürfen
Die europäische Datenschutzgrundverordnung schließt die Verarbeitung von bestimmten personenbezogenen Daten kategorisch aus. Diese sind nach Auffassung der europäischen Gesetzgebung dazu geeignet, Personen nachhaltig zu schaden. Da die Datenverarbeitung bereits mit der Datenerhebung beginnt, dürfen Sie Fragen nach diesen speziellen Merkmalen auch nicht in der Selbstauskunft stellen. Welche personenbezogenen Daten Sie nicht erheben dürfen, ist in Artikel 9 DSGVO Absatz 1 aufgeführt. Hierzu zählen folgende Merkmale:
-
Rassische und ethnische Herkunft
-
Politische Meinung
-
Religiöse oder weltanschauliche Überzeugung
-
Gewerkschaftszugehörigkeit
-
Genetische oder biometrische Daten
-
Gesundheitsdaten
-
Daten zum Sexualleben oder der sexuellen Orientierung
Erkundigungen dieser Art sind des Weiteren wegen des Allgemeinen Gleichbehandlungsgesetzes (AGG) zu unterlassen und können gegebenenfalls Klagen nach sich ziehen. Mit der DSGVO in Einklang stehen hingegen unter anderem Fragen nach:
-
Alter
-
Wohnsitz
-
Einkommen
-
Finanzieller Situation
-
Beruf und Arbeitgeber
Diese Aspekte sind durch Artikel 6 Absatz 1f DSGVO abgedeckt, da hier ein berechtigtes Interesse des Vermieters besteht.
Kooperieren Sie mit den Behörden
Um die Daten der Bürger zu schützen, hat die europäische Legislative entsprechende Sanktionsmöglichkeiten eingerichtet, welche Sie empfindlich treffen können. Kontrolliert wird die DSGVO in Deutschland von den Datenschutzbeauftragten der Bundesländer. Hier lauert auch gleich schon der nächste Fauxpas, den Sie dringend vermeiden müssen: Sollte der Verdacht bestehen, dass Ihnen personenbezogene Daten entwendet wurden, sind Sie in der Pflicht, die zuständige Datenschutzbehörde umgehend zu informieren. Ein Unterlassen kann ernsthafte Konsequenzen nach sich ziehen. Hier ist es entscheidend, dass Sie proaktiv handeln und den Kontakt suchen. Gegebenenfalls sind auch die Betroffenen selbst zu informieren.
Fazit
Bei der Einhaltung der Datenschutzgrundverordnung lauern allerhand Fallstricke. So kommt es zum Beispiel bei der Mieterselbstauskunft nicht nur darauf an, welche Fragen Sie Mietinteressenten stellen, sondern auch, wann Sie das Formular einfordern. Gleichzeitig müssen Sie Löschfristen einhalten sowie Informationspflichten nachkommen und wissen, wann ein Widerspruch zur Datenverarbeitung gerechtfertigt ist. Aufgrund der hohen Bußgelder sollten Sie die Datenschutzgrundverordnung ernst nehmen und beim Umgang mit personenbezogenen Daten stets kritisch mit sich selbst sein.
Weitere Informationen zum Thema erhalten Sie auch in unserem DSGVO-Ratgeber Handbuch das zu einem Preis von 14,90 Euro in unserem Shop erhältlich ist.
Unser Videoseminar DSGVO Kompakt, ist im Rahmen der Fortbildungspflicht anrechenbar und Sie erhalten ein Zertifikat zum Nachweis der Weiterbildung. Ebenfalls in unserem Shop erhältlich zu einem Vorzugs- Preis von 64,50 Euro.
